导语:在刚刚过去的第一季度中,卡巴斯基检测到了1333605个恶意安装包,其中手机银行家木马32038个,移动勒索软件木马218625个。
根据卡巴斯基实验室解决方案公布的数据,他们已经在第一个季度为世界各地190个国家的用户检测并阻止了479528279次恶意攻击。
目前网络防病毒组件已将79209775个有唯一的URL标记为恶意软件。而尝试通过在线访问来窃取银行帐户的恶意软件已经感染了288万用户的电脑,240799台用户的计算机上的加密勒索软件攻击被阻止,卡巴斯基实验室的文件杀毒软件总共检测到有174989956个独立的潜在恶意对象。
卡巴斯基实验室移动安全解决方案的检测统计如下:
1333605个恶意安装包
32038手机银行家木马(安装包)
218625个移动勒索软件木马(安装包)
本报告分别从移动威胁、网络威胁、本地威胁三大方面来做统计分析。
移动威胁
Trojan-Ransom.AndroidOS.Egat的兴起
在2017年第一季度, 与Trojan-Ransom.AndroidOS.Egat家族有关的移动勒索软件攻击大幅增长,准确的来说,遭受这种恶意软件攻击的用户数量比上一季度增加了13倍以上。尽管自2006年6月以来,这种木马就已经被发现了,但是攻击的爆炸式增加在今年才发生。
该恶意软件具有标准的移动勒索软件功能,比如它能阻止设备运行,用自己的窗口覆盖用户打开的所有窗口,然后要求用户支付赎金。大多数情况下,赎金在100美元到200美元之间波动。大多数受到攻击的用户集中在欧洲,主要是德国,英国和意大利。
ZTorg的变种
卡巴斯基实验室已在Google Play商店中检测到约30个新的属于Ztorg家族的木马,如果你还记得《神奇宝贝GO》被感染的事件,那你一定不会对Ztorg陌生。2016年夏它在Google Play被发现,被发现时,安装次数已超过了50万次。安装后,Ztorg会检查它是否是在虚拟机上运行。如果检查顺利通过,则攻击模块就会通过远程服务器加载。通过利用系统中的漏洞,该木马尝试获得超级用户权限。如果成功,它会将攻击模块安装到系统文件夹中,并修改设备设置,使其持久隐藏在其中,即使你重置为出厂设置也不济于事。
在Google Play商店中的Trojan.AndroidOS.Ztorg.bp
该木马使用了几个不同的模块,秘密地在设备上下载和安装各种程序,显示广告甚至购买应用程序。应该注意的是,这个恶意软件的功能目前已经发生变异,比如,验证设备是否真实的检查次数已经减少了,用于下载,解密和加载主模块的代码已经被放置在下载的库中。
Asacub的兴起
在2017年第一季度,卡巴斯基实验室注意到Trojan-Banker.AndroidOS.Asacub手机银行攻击正在兴起。光这个季度,这个家族的木马就袭击了43000多台移动设备,比上一季度增长了2.5倍。在所有受攻击的用户中,超过97%的受害者来自俄罗斯。 Asacub主要通过垃圾邮件进行传播。点击恶意链接后,用户被引导到一个页面,提示他们查看隐藏木马的信息,当用户查看时,Asacub就会下载到设备。有趣的是,如果在Windows设备上打开相同的链接,则会下载Backdoor.Win32.Htbot.bs。
下载Trojan-Banker.AndroidOS.Asacub的站点
值得注意的是,Trojan-Banker.AndroidOS.Asacub还在不断扩展其间谍软件功能。除了标准的移动银行攻击功能外,例如窃取用户的设备信息并发送钓鱼短信,或者使用网络钓鱼窗口覆盖各种应用程序,搜索用户的通话记录,联系人和GPS位置。
移动威胁统计
2017年第一季卡巴斯基实验室检测到1333605个恶意安装软件,几乎与2016年第四季度相同。
从2016年第2季度到 2017年第1季度检测到的恶意安装包数量
不同类型的移动恶意软件的变化趋势
2016年第四季度和2017年第一季度不同恶意软件的变化趋势
2017年第一季度,攻击影响最大的是Trojan-Ransom,其占比由4.64%上升至16.42%,提高了3.5倍。安装包数量增长最快的是Trojan-Ransom.AndroidOS.Congur系列,这个会在下面描述。
在增长率方面,Trojan-Spyware的增长率达到了10.27%(增长了 1.83%)。这是由于Trojan-Spy.AndroidOS.SmForw和Trojan-Spy.AndroidOS.SmsThief的家族所新增的窃取SMS的恶意程序数量在增加。
第一季度,Adware(7.32%)和Trojan-Dropper(6.99%)的跌幅最大,分别下跌4.99%和4.48%。此外,与RiskTool有关的攻击也下降了2.55%。
排名前20的移动恶意软件程序
请注意,这种恶意程序评级不包括潜在的危险或有害程序,例如RiskTool或广告软件。
在2017年第一季度,以广告为主要手段的14种木马占了排名前20的移动恶意软件程序中的大半江山,其目标就是尽可能多地向用户提供广告。这些木马可能会使用超级用户权限将其隐藏在系统应用程序文件夹中,要彻底从中删除它们是非常困难的。
排名第一的是DangerousObject.Multi.Generic(70.09%),该软件是使用基于云计算的恶意程序检测平台检测的。当杀毒软件的数据库既不包含签名也不包含启发式检测恶意程序时,只有通过云技术来检测了。
Trojan.AndroidOS.Hiddad.an(9.35%)排名第二,该恶意软件会伪装成各种不同流行的游戏或应用程序。有趣的是,一旦运行,它会下载并安装它所伪装的应用程序。此时,木马会通过管理员权限来将其隐藏起来避免被删除。 Trojan.AndroidOS.Hiddad.an的主要目的是频繁展示广告,其主要的受害者在俄罗斯(86%的被攻击的用户)。
第三是Trojan.AndroidOS.Boogr.gsh(4.51%),此木马是基于机器学习的系统来检测出来的,在2017年第一季度,它最受欢迎的能够获得用户超级权限的广告木马。
排名第八位的是Trojan-Dropper.AndroidOS.Hqwar.i(3.83%),它是通过 “混淆器”或“封隔器”来隐藏其恶意软件的实际来源的。在大多数情况下,隐藏的是FakeToken和Svpeng木马家族的相关名称。
排名第十二位的是Trojan-Banker.AndroidOS.Svpeng(2.49%),这个家族已连续三个季度榜上有名了,而且还是2017年第一季度最受欢迎的银行木马。
Trojan.AndroidOS.Agent.bw排名第16位(1.79%)。这个木马主要针对印度的受害者(超过92%的受攻击用户),就像Trojan.AndroidOS.Hiddad.an一样,它也会伪装成流行的程序和游戏,一旦运行,就会在用户的设备上下载并安装了各种欺诈应用程序。
移动威胁的地理分布
2017年第一季度移动恶意软件感染的地理位置分布
按受攻击用户的百分比排列,2017第一季度被移动恶意软件攻击的十大国家
在2017年第一季度,伊朗是的用户受到移动恶意软件攻击的百分比最高—-47.35%。孟加拉国第二名,本季度,百分比到达36.25%。其次是印度尼西亚和中国,两国的占比略高于32%。
俄罗斯(11.6%)在这一评级中排名第40位,法国(8.1%)第57位,美国排名第69位(6.9%),意大利排名第71位(7.1%),德国(6.2%)第72位,英国(5.8%)排名第75位。
最安全的国家是芬兰(2.7%),格鲁吉亚(2.5%)和日本(1.5%)。
在排名前20名的国家中,都检测到了相同的移动恶意对象——广告软件,其中影响最大的就是AdWare.AndroidOS.Ewind家族的广告木马。
手机银行木马
在第一季度里,卡巴斯基实验室共检测到32038个手机银行木马安装套件,是2016年第四季度的1.1倍。
从2016年第二季度到 2017年第一季度卡巴斯基实验室解决方案检测到的移动银行木马安装包数量
Trojan-Banker.AndroidOS.Svpeng连续第三季度仍然是最流行的手机银行木马,这个手机银行木马家族使用网络钓鱼窗口从网上银行帐户窃取信用卡数据和登录密码。攻击者会通过短信服务窃取包括手机银行里的资金。Trojan-Banker.AndroidOS.Faketoken.z和Trojan-Banker.AndroidOS.Asacub.san与这个木马也类似。值得注意的是,Trojan-Banker.AndroidOS.Svpeng的大多数受害者在俄罗斯。
2017年第一季度移动银行遭受威胁的地理分布
受到手机银行家族木马袭击的十大国家,按受攻击用户的占比排名
尽管Svpeng家族在2017年第一季就成了最流行的手机银行木马,但其活动与2016年第三季度的巅峰时期相比还是有所下降,比如在俄罗斯遭受攻击的用户占比就下降了近两倍,从3.12%至1.64%。但是,俄罗斯仍然排在第一。
其次是澳大利亚(1.14%),Banker.AndroidOS.Acecard和Trojan-Banker.AndroidOS.Marcher家族是最流行的威胁木马,土耳其(0.81%)排在第三。
移动勒索软件
在2017年第一季度,卡巴斯基实验室检测到218625个移动勒索软件木马安装包,比上一季度增长了3.5倍。
从2016年第二季度到 2017年第一季度,卡巴斯基实验室检测到的移动勒索软件安装包数量
在2016年上半年,由于Trojan-Ransom.AndroidOS.Fusob系列的大规模扩散导致了移动勒索软件安装包数量的增加。2016年下半年,随着该家庭的活动下降,检测到的安装包数量也下降了。 2016年第四季度的移动勒索软件有开始恢复了,2017年第一季度又出现了大幅加速,原因是Trojan-Ransom.AndroidOS.Congur家族的泛滥,经检测, 有超过86%的增长都与该家族有关。通常,Congur家族的木马具有非常简单的功能,它们能更改系统密码,让设备无法正常运行,然后要求用户支付赎金。值得注意的是,该木马的修改可以利用现有的超级用户权限将其攻击模块安装到系统文件夹中。
尽管如此,Trojan-Ransom.AndroidOS.Fusob.h仍然是第一季度最受欢迎的移动勒索软件木马,约占45%攻击比例。一旦运行,木马会请求管理员权限,收集有关设备的信息,包括GPS坐标和通话记录,并将数据下载到恶意服务器。最后,设备就可能会收到阻止设备的命令。
2017年第一季度移动勒索软件木马的地理位置分布
被移动勒索软件木马攻击的前十个国家
美国在这里排名第一,其中最受欢迎的木马家族有Trojan-Ransom.AndroidOS.Svpeng。其实,这些木马早在2014年就出现了,作为Trojan-Banker.AndroidOS.Svpeng手机银行木马家族的变异版本。该家族一般会要求受害者支付100-500美元的赎金来解锁其设备。
在乌兹别克斯坦(0.65%),大多数移动勒索软件攻击都与Trojan-Ransom.AndroidOS.Loluz.a有关,这是一个简单的木马,能够用自己的窗口覆盖受害者设备,并要求用户通过电话与欺诈者联系,从而获取赎金。
哈萨克斯坦是第四名(0.54%),对用户的主要威胁来自于小型移动的Trojan-Ransom家族,这是一个相当简单的勒索软件程序,通过覆盖设备上的所有操作窗口,并且通常要求支付 10美元的赎金。
除了在这十大国家流行勒索软件外,最受欢迎的木马家族就是Fusob了。
网络犯罪分子所利用的易受攻击的应用程序
由于2016年第三季度Neutrino利用套件已将大规模的攻击活动改变成了具有针对性的攻击,所以留下来的市场就被Nebula, Terror等这些新兴起的木马代替了,但时间也不是很长。目前,RIG家族仍然是最受欢迎和最先进的公开攻击套件。
2017年第一季度的统计数字显示,受攻击的用户数量几乎下降了10%。这主要是由于漏洞利用套件的几个大工具转型或消失了,以及漏洞利用效率的降低。 截至目前,Adobe Flash仍然是唯一展示出现增长的攻击工具,虽然在本季度还没有发现新的Adobe Flash漏洞,但受攻击的用户数量却增长了20%。针对不同的浏览器的Adobe Flash攻击占了44%(上个季度为54%)。
CVE-2016-189,CVE-2014-6332和CVE-2013-2551仍然是第一季度最受欢迎的漏洞。值得注意的是,微软Edge浏览器Chakra引擎中的漏洞占了大多数,在这些漏洞发布后, Sundown攻击套件, Neutrino,Kaixin和其他木马也都活跃了一阵子。然而,它们对这些漏洞的利用也就是一阵子而已,其实修补程序早在11月份就被发布了因此这些攻击没有得到广泛传播。
2017年第一季度易受攻击的应用程序分布
在2017年第一季度,特别易受攻击的应用程序都与Microsoft Office漏洞利用。虽然受攻击的Office用户的占比没有多大变化,但同一用户遭受的攻击次数,却增加了不少多,平均下来,一名受攻击的用户在2016年四季度会收到3个恶意文件。
总体趋势是,在向潜在受害者的计算机传送恶意软件时增加社会工程的占比。其中,通过受感染邮件来诱导用户执行某些操作占了很大的比例,比如从受密码保护的文章中解压缩文件,从文档中发出执行宏的权限等。目前利用社会工程的方法也开始应用于浏览器的漏洞中,例如,Magnitude攻击工具就可向Internet Explorer 11和Windows 10用户发出伪造的Microsoft Defender更新通知,然后让用户下载恶意文件。另外,一些垃圾邮件广告系列是基于伪造的Google Chrome更新页面。卡巴斯基实验室认为,今后这种趋势将会越来越流行。
在线威胁(基于Web的攻击)
银行机构的在线威胁
从2017年第一季度开始,卡巴斯基实验室就开始统计包括ATM和POS终端的恶意程序,但不包括移动威胁。
在2017年第一季度,卡巴斯基实验室解决方案阻止了288000台电脑上的一个或多个能够通过网上银行窃取资金的恶意程序。
2017年第一季度,受到受银行恶意软件攻击的用户数量
威胁地理分布
为了评估和比较全球的银行木马和ATM和POS恶意软件感染之间的关系,卡巴斯基实验室对全球安装卡巴斯基实验室产品的所有用户都进行了调查。
2017年第一季度银行恶意软件攻击地理分布
排名前十的国家
2017年第一季度,德国(1.70%)遭受银行木马袭击的用户比例最高,其次是中国(1.37%)。利比亚(1.12%)第三。
至于其他欧洲国家,例如西班牙(0.24%)位居第89位,英国(0.15%)位居第126位。
十大银行恶意软件家族
下表显示了2016年第三季度排名前十的恶意银行软件家庭,按受攻击用户所占的百分比排名。
与去年同期相比,2017年第一季度,Trojan-Spy.Win32.Zbot(45.93%)是最受欢迎的恶意软件家族。由于它的源代码已经公开发布,现在基于它的很多变异版本都会窃取用户的付款数据。毫不奇怪,攻击者通常会根据泄露的源代码来对旧有的版本进行升级。
其次是Trojan.Win32.Nymaim(29.70%)。刚开始,这个木马系列的恶意软件只是在用户的设备下载程序,然后阻止设备的正常运行。之后,发现了Trojan.Win32.Nymaim家族恶意软件的新变种,它们具有了Gozi的部分功能(Gozi称为金融界历史上破坏性最强的病毒之一),比如窃取网络银行系统中的用户支付数据。在2017年第一季度,Gozi(3.15%)排名第四。
Trojan.Win32.Neurevt(3.31%)排名第三,它是一个用C ++编写的多功能木马程序。它使用rootkit技术隐藏其在系统中,然后将自己的代码注入到所有正在运行的进程中,并阻止某些杀毒程序的工作,监控和阻止其他常见木马的安装。
勒索软件的数量变化
2017年第一季度,卡巴斯基实验室共检测到11个新的处于潜在威胁的勒索软件家族和55667个原有恶意程序的新变种。
大多数检测到的变种都属于Cerber家族(Trojan-Ransom.Win32.Zerber),其实早在一年前,卡巴斯基就首次发现了Cerber,并定期检测出其新变异的版本。
被勒索软件攻击的用户数
在2017年第一季度,总共有240799个卡巴斯基安全用户遭到隐私信息的攻击。
2017年第一季度,Trojan-Ransom cryptor恶意软件攻击的用户数
这个数字几乎只有是2016年第四季度的一半,但这并代表威胁正在下降。这个下降很可能与实际的统计事件有关,本季度的统计数据只反映了基于签名和启发式检测的结果。
攻击的地理分布
2017年第一季度Trojan-Ransom攻击的地理分布
遭受cryptor攻击的前十个国家
2016年第三季度,意大利还未出现在前10,但现在居然排名第一(1.87%)。其次是巴西(1.07%),也是首次进入前十。这表明针对巴西受害者的勒索软件数量有所增加。其中一个例子是Xpan的兴起。
排名第三的日本(0.99%)在2016年第二季度和第三季度都是排名第一。
十大善于伪装攻击的勒索软件家庭
Cerber(18.04%)在2017年第一季度攻击的用户数最多。
Spora(7.59%)位居第二。这个新出现的木马是在2017年1月首次发现的,而其刚开始只是针对俄语地区的用户。然而,Spora在全球范围内的传播速度非常快,在第一季度末就进入了前三名。第三名是Locky(7.35%),它大约一年前就被发现,最近的攻击活动有所减少。
另一种新的木马是Sage(3.44%),像Spora一样,它在2017年第一季度才出现,在本季度评级中排名第四。
特别值得注意的是, PetrWrap的出现,207年3月,卡巴斯基实验室就发现PetrWrap,利用臭名昭著的Petya勒索软件加密用户数据,也就是说PetrWrap勒索软件半道绑架了Petya勒索软件 这样就省得自己写代码加密硬盘了,统计显示,这种攻击已变得普及了。
受网络资源攻击的前十名国家
以下统计数据基于攻击中使用的在线资源的物理位置,并被卡巴斯基实验室的防病毒组件(包含重定向到漏洞的网页,包含漏洞利用和其他恶意软件的站点,僵尸网络命令中心等)所阻止,其中一个主机可能有一个或多个Web攻击的来源。
为了确定基于Web攻击的地理来源,卡巴斯基实验室会将域名与其实际域IP地址进行匹配,然后建立特定IP地址(GEOIP)的地理位置。
在2017年第一季度,卡巴斯基实验室解决方案阻止了来自全球191个国家的网络资源发起的479528279次攻击。 79209775个唯一URL被Web防病毒组件识别为恶意。
2017年第一季度受网络资源攻击的国家
荷兰(38%)第一,虽然这个国家的占比与2016年的几乎没有什么变化,但曾经连续几个季度都上涨的美国(30%)却下降到第二位。德国(9%)第三。
俄罗斯(4%)和法国(3%)分别是第四和第五。
用户面临巨大网络威胁风险的国家
此统计仅包括属于恶意软件类的恶意程序攻击,不包括网络防病毒模块所检测出的潜在危险或无用程序,如RiskTool或广告软件。
平均而言,有20.05%的计算机至少受到过一个恶意软件家族的网络攻击。
2017年第一季度恶意网路攻击地理分布
最安全的网络环境是卢森堡(14.4%),德国(13.9%),挪威(13.83%),南非(12.5%),美国(10.56%),乌干达(10.29%)和日本9.18 %)。
本地威胁
用户计算机的本地威胁统计信息是一个非常重要的指标,该指标反映了通过感染文件或可移动媒体或最初以加密格式上传到计算机上的计算机系统的威胁,例如,集成在复杂安装程序中的程序,加密文件等。
本次的统计数据是基于硬盘驱动器以及可移动存储介质上的文件扫描信息。
在2017年第一季度,卡巴斯基实验室的文件杀毒软件检测到174989956个恶意和潜在的不需要的程序对象。
用户面临本地威胁风险最高的国家
这个统计是基于触发了文件防病毒软件的数据,这些统计数据反映了不同国家个人电脑感染的水平。
恶意程序的排名统计仅包括恶意软件级别的攻击,不包括网络防病毒模块检测的潜在的危险或不需要的程序,如RiskTool或广告软件。
数据包括检测位于用户计算机上的恶意程序或连接到计算机的可移动介质,如闪存驱动器,摄像机和手机存储卡或外部硬盘驱动器。
2016年第三季度,全球计算机平均的本地威胁为23.63%。其中俄罗斯是30.51%。
本地威胁风险最小的国家有:波兰(14.85%),新加坡(12.21%),意大利(13.30%),法国(11.15%),澳大利亚(10.51%),英国(9.08%),加拿大8.66%),捷克共和国(7.83%),美国(7.57%),丹麦(6.35%),日本(6.18%)。